Meldepflichten gem. § 4 d BDSG:
Sie dienen der Vorabkontrolle. Es gibt grundsätzlich ein Regel – Ausnahme – Prinzip.
Die Regel:
Die Regel besagt, dass zunächst einmal alle verantwortlichen Stellen meldepflichtig sind. Gegenstand dieser Meldepflicht sind „Verfahren automatisierter Verarbeitungen“. Mit Verfahren sind nicht einzelne Verarbeitungsvorgänge, sondern ganze „Verarbeitungspakete“, die einem einheitlichen Zwecke dienen, gemeint. Die Meldung hat gem. Abs. 1 gegenüber der zuständigen Aufsichtsbehörde zu erfolgen (bei nicht-öffentlichen Stellen). Eine bestimmte Form ist nicht vorgeschrieben. Die Behörden akzeptieren grundsätzlich auch Emails bzw. Emailanhänge, da die Behörden Musterformulare zur Verfügung stellen und man diese dann ausgefüllt als Emailanhang senden kann.
Ausnahmen von der Meldepflicht (§ 4 d Abs. 2 – 3 BDSG):
Ausnahmen bestehen für folgende Tatbestände:
Die Bestellung eines eigenen Beauftragten für den Datenschutz (unabhängig davon, ob eine sonstige Verpflichtung dazu besteht oder nicht).
Die Erhebung, Verarbeitung, Nutzung der Daten für eigene Zwecke und hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung, Nutzung beschäftigt sind und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung, Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Seit der BDSG – Novelle 2009 ist durch die Formulierung „in der Regel“ klargestellt, dass damit nicht Personen gemeint sind, die sporadisch Daten verarbeiten, sondern diese neun Personen müssen wirklich überwiegend mit der Verarbeitung, Erhebung oder Nutzung beschäftigt sein. Mithin zählen die Mitarbeiter nicht mit, die dies nicht regelmäßig, als freie Mitarbeiter, in Teilzeit oder nur hin und wieder tun.
Ausnahme von der Ausnahme (Abs. 4):
Die Ausnahme (Befreiung von der Meldepflicht) gilt nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle zum Zwecke der (auch anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung gespeichert werden (gemeint sind Datenverarbeitungen gem. §§ 29, 30, 30 a BDSG).
Schließlich gibt es noch die Vorabkontrolle (Abs. 5 – 6):
Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn
- besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
- die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.
Die weiteren §§ des BDSG:
§ 4 e BDSG regelt den Inhalt der Meldepflicht
§ 5 BDSG regelt das Datengeheimnis der beschäftigen Personen
§ 6 BDSG regelt die Rechte des Betroffenen mit einem Verweis auf § 34 (Auskunft), § 35 (Löschung, Sperrung) und erklärt die Unabdingbarkeit
§ 6a BDSG enthält die automatisierte Einzelentscheidung (z.B. beim Kreditantrag etc.)
§ 6b BDSG regelt die Videoüberwachung und deren Voraussetzungen.
§ 6c BDSG regelt die Nutzung mobiler personenbezogener Speicher- und Verarbeitungsmedien.
§ 7 BDSG ist Anspruchsgrundlage eines Schadensersatzanspruches des Betroffenen gegen die verantwortliche Stelle.
§ 8 BDSG regelt dies konkret für öffentliche Stellen (natürlich mit einer Haftungsbeschränkung auf 130.000,- Euro).
§ 9 BDSG regelt technische und organisatorische Maßnahmen der verantwortlichen Stelle zur Durchsetzung des BDSG, wie z.B.:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
§ 9a BDSG regelt das Datenschutzaudit (Zertifizierungsmöglichkeit zur Verbesserung des Datenschutzes).
§ 10 BDSG Einrichtung eines automatisierten Abrufverfahrens.
Mitgeteilt von Anwalt Karsten Klug